【漏洞公告】CVE-2017-7529:Nginx敏感信息泄露

梧匠 2017-07-13

2017年7月11日,Nginx官方发布最新的安全公告,漏洞CVE编号为CVE-2017-7529,该在nginx范围过滤器中发现了一个安全问题,通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围,从而导致敏感信息泄漏,存在安全风险。

具体详情如下:

漏洞编号:

CVE-2017-7529

漏洞名称:

Nginx敏感信息泄露

官方评级:

高危

漏洞描述:

当使用nginx标准模块时,允许攻击者如果从缓存返回响应,则获取缓存文件头,在某些配置中,缓存文件头可能包含IP地址的后端服务器或其他敏感信息,从而导致信息泄露。

漏洞利用条件和方式:

远程利用

漏洞影响范围:

Nginx0.5.6-1.13.2.

漏洞检测:

自查使用的Nginx版本是否在受影响范围内

漏洞修复建议(或缓解措施):

建议升级到Nginx1.13.3,1.12.1

情报来源:

Nginx官方安全公告:http://nginx.org/en/CHANGES

http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html

[此帖被正禾在2017-07-1310:43重新编辑]

梧匠

梧匠

相关推荐

SVN信息泄露漏洞

据介绍,SVN是程序员常用的源代码版本管理软件。在服务器上布署代码时。如果是使用 svn checkout 功能来更新代码,而没有配置好目录访问权限,则会存在此漏洞。黑客利用此漏洞,可以下载整套网站的源代码。svn1.6及以前版本会在项目的每个文件夹下都生

起点 / 0评论 2020-05-10

CTFHUB-技能树-Web-信息泄露

phpinfo:输出 PHP 当前状态的大量信息,包含了 PHP 编译选项、启用的扩展、PHP 版本、服务器信息和环境变量、PHP环境变量、操作系统版本信息、path 变量、配置选项的本地值和主值、HTTP 头和PHP授权信息。

linzb / 0评论 2020-05-01

信息泄露

在密码位置输入单个字母“g”肯定不会引起错误,所以,这个 SQL 语句是因为多了一个单引号导致的报错。因此,后台的 SQL 查询应该是直接采用的字符串拼接,且没有过滤单引号。一旦这些关键信息被泄露,将会造成十分严重的后果。同时从公司制度上,去提高员工的安全

bjzhangfei / 0评论 2020-04-16

ctfhub技能树—信息泄露—备份文件下载—网站源码

访问如下地址,即可下载网站源码。发现名为flag_48739440.txt的文本文件。发现没有flag,于是查看其它两个文件的内容

齐天大圣数据候 / 0评论 2020-03-05

黑客攻破域名注册商 Web.com 安全防线,客户私密信息或被泄露

后续调查发现,它的两家子公司也未能幸免。今年早些时候,外媒报道称域名注册商 Web.com 遭遇了黑客攻击和数据泄露。攻击者能够访问到有关客户的私密信息,但 Web.com 未透露有多少人受到影响,外界猜测数以百万计。尽管 Web.com 强调攻击者未能访

ZMichael / 0评论 2019-11-02

泛微e-cology OA系统某接口存在数据库配置信息泄露漏洞复现

攻击者可通过存在漏洞的页面直接获取到数据库配置信息。有错还希望师傅们指出来)。//StringBuffer和StringBuilder 之间的最大不同在于 StringBuilder 的方法不是线程安全的。//由于 StringBuilder 相较于 St

xiaoxiangyu / 0评论 2019-11-03

京东商城购物导致个人信息泄露,近期井喷式爆发致多人被诈骗

szqiangmei / 0评论 2019-10-25

Capital One被黑客入侵,超过1亿用户信息被泄露

Capital One周一披露,一名黑客获得了1亿多名客户和潜在客户的个人信息,包括姓名、地址、电话号码和生日。第一资本是美国一家主要的信用卡发行商,同时也经营零售银行业务。第一资本表示,该公司证实了7月19日的黑客事件。这名黑客已被美国司法部逮捕。消息公

hitlermen / 0评论 2019-07-30

FormGet泄露了数十万用户上传的文件

一家名为FormGet的印度公司发生了泄密事件。该公司泄露了包含“数十万”用户上传文件的敏感文件,这些文件的日期早在2013年。据报道,该事故是由配置错误的Amazon S3存储桶引起的。一位匿名安全研究人员发现该公司的存储桶在联网后没有设置密码。基于现有

黑木爷 / 0评论 2019-07-30

25000台Linksys智能Wi-Fi路由器存在敏感信息泄露漏洞

自2014年以来泄露大量数据的严重漏洞已暴露出来,未更改默认密码的Linksys路由器甚至可以帮助黑客在现实世界中物理定位设备和用户。研究员Troy Mursch称,超过25,000台Linksys Smart Wi-Fi路由器容易受到敏感信息泄露漏洞的影

axiejundong / 0评论 2019-05-20

三星Android(安卓)手机系统锁屏功能信息泄露风险的防范

我用的是三星i9220 android系统是2.3.5这个信息泄漏的前提条件是手机开放了屏幕解锁设置功能,且绑定了google帐户或者设置密码保护问题。的按钮正常情况下是需要我们输入之前绑定的google帐号密码就可以设置新的解锁密码不过现在可以长按输入筐

ElvenShi / 0评论 2012-06-24

如何提升企业数据安全、信息系统数据安全,防止泄露商业机密罪行为的发生

当前企业信息安全、商业机密保护是国内各行业网络管理的热点,在知识经济时代,商业机密的安全管理至关重要。如何防止员工复制电脑文件到U盘携带出去,如何禁止员工通过QQ发送文件将商业机密发送出去,以及如何禁止邮件发送商业机密等,已经成为企业信息安全管理、数据防泄

智链ChainNova / 0评论 2017-11-14

12306信息泄露黑手成功被抓获

昨天,乌云漏洞平台爆料称,12306网站再现重大漏洞,超过13万用户的账号、密码、邮箱等被泄露出去。随后,经过查证,这次泄露并不是12306犯的错,而且12306也回应称该网站数据库的所有用户密码都是多次加密的非明文转换码,网上泄漏的应该来自其他渠道,同时

cczsmile / 0评论 2014-12-25

12306明文密码、身份证、邮箱等信息泄露是怎么回事?真相揭晓

12月25日上午,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。眼下正值春运抢票高峰期,乌云漏洞平台突然爆出了一个骇人听闻的消息:12306用户资料疑似大量泄漏,甚至有明文形式

wxd0 / 0评论 2014-12-24

独家|信息泄露事件频发,拷问AI时代的数据安全

华住酒店集团共140G约5亿条个人信息遭泄露、并在境外黑市中以8个比特币标价售卖的新闻刚过去不久,最近顺丰也传出被用户在“暗网”上以两个比特币售卖3亿条快递数据的消息。另外,今年八月底,浙江绍兴越城警方破获的一起案件也涉及了公民30亿数据遭剽窃的严峻问题。

数智物语 / 0评论 2018-09-12

如何防止信息泄露?阿里巴巴数据风险防控体系揭秘!

近年来,大规模的个人信息泄漏事件不断发生,由此引发的精准诈骗也经常被媒体报道。有着庞大用户群体和海量交易的阿里巴巴却能独善其身,这背后有什么独门秘籍呢?当我们表明来意时,阿里安全技术平台资深专家玄泰反复提到“御城河”三个字。为了强化我们对御城河的理解和感受

理想国 / 0评论 2017-12-13

又一数据泄露事件!美Quora网站1亿用户信息被盗

6月13日,AcFun弹幕视频网发布公告称,AcFun受黑客攻击,近千万条用户数据外泄,包含用户ID、用户昵称、加密存储的密码等信息。8月,华住酒店被爆出5亿条个人信息遭到泄露。12月3日,美国知名问答社区 Quora 刚刚发公告称,1亿用户数据因为第三方

AlphaH的技术之旅 / 0评论 2018-12-05

还在担心酒店信息泄露,我用Python写了段加密算法,看你怎么破

模拟客户端-服务端Python里面的库真的是非常多,只有你想不到。基本上你想要做的大部分事情都有现成的轮子,不用自己造,socket当然也有!用socket模块建立一个套接字对象server,绑定本地的ip和端口,端口要用冷门的端口!服务端需要响应客户端的

xw0 / 0评论 2018-11-16

GitHub 敏感信息泄露自动提示平台

而就在这个月华住酒店的程序员是不是跟我上面描述写的一模一样,简直神似,把数据库的访问权限上传到了 GitHub 上,而且还有用户名和密码,更有公网访问的 IP 和端口号。所以很容易就把数据给泄露了。我们如果一不小心就把带有密码的代码上传到了 GitHub

包包 / 0评论 2018-09-10

万豪数据泄漏门再敲警钟,酒店集团7步安全建议

前言11月30日,万豪酒店官方发布消息称,多达5亿人次预订喜达屋酒店客人的详细个人信息可能遭到泄露。万豪国际在调查过程中了解到,自2014年起即存在第三方对喜达屋网络未经授权的访问,但公司直到2018年9月才第一次收到警报。近些年洲际、希尔顿、凯悦、文华东

MaQing / 0评论 2018-12-03

Linux kernel 信息泄露漏洞(CVE-2018-16658)

Linux kernel 信息泄露漏洞发布日期:2018-09-10更新日期:2018-09-13受影响系统:。CVE ID: CVE-2018-16658Linux kernel是开源操作系统Linux所使用的内核。本地攻击者可借助特制的输入利用该漏洞读

yczgh / 0评论 2018-09-13

GnuTLS信息泄露安全漏洞(CVE-2018-10845)

GnuTLS信息泄露安全漏洞发布日期:2018-08-24更新日期:2018-08-31受影响系统:。BUGTRAQ ID: 105138CVE ID: CVE-2018-10845HMAC-SHA-256是一种加密算法。GnuTLS是一个SSL、TLS和

zhengxm / 0评论 2018-08-31

Linux kernel 内存信息泄露漏洞(CVE-2018-18344)

Linux kernel 内存信息泄露漏洞发布日期:2018-07-27更新日期:2018-07-30受影响系统:。CVE ID: CVE-2018-18344Linux kernel是操作系统Linux所使用的内核。Linux kernel 4.14.8

liangzier / 0评论 2018-07-30

可口可乐的数据泄露已经影响到大约8000名工人

可口可乐在9月份发现了一个安全问题,执法人员通知可口可乐,公司子公司的一名前员工拿走了包含员工信息的外部硬盘。可口可乐配合执法机构的调查,确认了这些数据的真实性。不过,可口可乐公司没有根据要求立即披露事件情况。根据州法律,该公司现在正在向受影响的员工发送通

xuandaoahfengren / 0评论 2018-05-29

多个CPU硬件信息泄露漏洞(CVE-2017-5753)

多个CPU硬件信息泄露漏洞发布日期:2018-01-03更新日期:2018-05-23受影响系统:。CVE ID: CVE-2017-5753CPU hardware是运行在中央处理器中用于管理和控制CPU的固件。系统中微处理器若利用推测执行及分支预测,则

xiaoyinduzhina / 0评论 2018-05-23

Linux kernel 本地信息泄露漏洞(CVE-2017-16911)

Linux kernel 本地信息泄露漏洞发布日期:2017-12-12更新日期:2017-12-14受影响系统:。Linux kernel 4.9.68Linux kernel 4.4.105Linux kernel 4.14.5Linux kernel

Walikrence / 0评论 2017-12-14

IBM Rational Rhapsody Design Manager信息泄露漏洞(CVE-2017-

IBM Rational Rhapsody Design Manager信息泄露漏洞发布日期:2017-11-20更新日期:2017-11-29受影响系统:。BUGTRAQ ID: 101976CVE ID: CVE-2017-1240IBM Ration

yuanyueliang / 0评论 2017-11-29

Google Chrome OS 本地信息泄露漏洞(CVE-2017-5084)

Google Chrome OS 本地信息泄露漏洞发布日期:2017-06-13更新日期:2017-06-13受影响系统:。BUGTRAQ ID: 98986CVE ID: CVE-2017-5084Google Chrome是由Google开发的一款We

mywebsos / 0评论 2017-06-14

cURL/libcURL远程信息泄露漏洞(CVE-2016-8621)

cURL/libcURL远程信息泄露漏洞发布日期:2017-05-24更新日期:2017-05-26受影响系统:。BUGTRAQ ID: 94101CVE ID: CVE-2016-8621libcURL是命令行传输文件工具。cURL/libcURL 7.

bingshiwuyu / 0评论 2017-05-26

Google Android Qualcomm Camera Driver信息泄露安全漏洞(CVE-

Google Android Qualcomm Camera Driver信息泄露安全漏洞发布日期:2017-05-03更新日期:2017-05-04受影响系统:。BUGTRAQ ID: 98211CVE ID: CVE-2017-0628Android是

xxwacm / 0评论 2017-05-04

NetIQ Sentinel Server 信息泄露漏洞(CVE-2017-5184)

NetIQ Sentinel Server 信息泄露漏洞发布日期:2017-03-30更新日期:2017-03-31受影响系统:。CVE ID: CVE-2017-5184NetIQ Sentinel Server是安全信息及事件管理工具。

xiaozhuawangzi / 0评论 2017-03-31

Apple Transporter信息泄露漏洞(CVE-2016-7666)

Apple Transporter信息泄露漏洞发布日期:2017-02-27更新日期:2017-03-01受影响系统:。BUGTRAQ ID: 94912CVE ID: CVE-2016-7666Transporter是基于Java的命令行工具。某些App

kevinbobolkevin / 0评论 2017-03-01

Adobe ColdFusion Builder 信息泄露漏洞(CVE-2016-7887)

Adobe ColdFusion Builder 信息泄露漏洞发布日期:2016-12-15更新日期:2016-12-21受影响系统:。BUGTRAQ ID: 94874CVE ID: CVE-2016-7887Adobe ColdFusion是一个动态W

kevinbobolkevin / 0评论 2016-12-21

Apache Tomcat信息泄露漏洞(CVE-2016-8745)

Apache Tomcat信息泄露漏洞发布日期:2016-10-05更新日期:2016-12-13受影响系统:。CVE ID: CVE-2016-8745Apache Tomcat是一个流行的开源JSP应用服务器程序。Apache Tomcat 9.0.0

xuejiazhi / 0评论 2016-12-13

Apache Tomcat 信息泄露漏洞(CVE-2016-0762)

Apache Tomcat 信息泄露漏洞发布日期:2016-10-27更新日期:2016-10-31受影响系统:。BUGTRAQ ID: 93939CVE ID: CVE-2016-0762Apache Tomcat是一个流行的开源JSP应用服务器程序。攻

登峰小蚁 / 0评论 2016-10-31

Android NVIDIA 分析器信息泄露漏洞(CVE-2016-6686)

Android NVIDIA 分析器信息泄露漏洞发布日期:2016-10-05更新日期:2016-10-12受影响系统:。CVE ID: CVE-2016-6686Android是基于Linux开放性内核的手机操作系统。可使攻击者获取敏感信息。

Javvin / 0评论 2016-10-12

Android Activity Manager 信息泄露漏洞(CVE-2016-2500)

Android Activity Manager 信息泄露漏洞发布日期:2016-06-12更新日期:2016-06-13受影响系统:。CVE ID: CVE-2016-2500Android是基于Linux开放性内核的手机操作系统。Android 5.0

ChaoYoung / 0评论 2016-06-13

Android AudioSource.cpp信息泄露漏洞(CVE-2016-2499)

Android AudioSource.cpp信息泄露漏洞发布日期:2016-06-12更新日期:2016-06-13受影响系统:。Android Android 6.x < 2016-06-01Android Android 5.1.x <

anbowing / 0评论 2016-06-13

IBM Security AppScan信息泄露漏洞(CVE-2016-0288)

IBM Security AppScan信息泄露漏洞发布日期:2016-06-01更新日期:2016-06-03受影响系统:。IBM Security AppScan Enterprise IBM Security AppScan Standard 9.x

cmengzhongren / 0评论 2016-06-02

Google Chrome 信息泄露漏洞(CVE-2016-1665)

Google Chrome 信息泄露漏洞发布日期:2016-05-11更新日期:2016-05-17受影响系统:。CVE ID: CVE-2016-1665Google Chrome是由Google开发的一款Web浏览工具。

攸宁 / 0评论 2016-05-17

Android ContentService.java信息泄露漏洞(CVE-2016-2426)

Android Android 6.x < 2016-04-01Android Android 5.1.x < 5.1.1Android Android 5.0.x < 5.0.2Android Android 4.x < 4.4.

yinge00 / 0评论 2016-04-18

Android asn1/cms/GCMParameters.java信息泄露漏洞(CVE-2016-

Android Android 6.x < 2016-04-01Android Android 5.1.x < 5.1.1Android Android 5.0.x < 5.0.2描述:。CVE ID: CVE-2016-2427Andr

ziyexiuxiu / 0评论 2016-04-18

Android ComposeActivity.java信息泄露漏洞(CVE-2016-2425)

Android Android 6.x < 2016-04-01Android Android 5.1.x < 5.1.1Android Android 5.0.x < 5.0.2Android Android 4.x < 4.4.

litdwg的学习轨迹 / 0评论 2016-04-18

Apache OpenMeeting信息泄露漏洞(CVE-2016-2164)

Apache OpenMeeting信息泄露漏洞发布日期:2016-04-07更新日期:2016-04-13受影响系统:。CVE ID: CVE-2016-2164Apache OpenMeetings是音频及视频会议软件。

Albertsong / 0评论 2016-04-13

PHP phar_parse_zipfile函数信息泄露及拒绝服务漏洞(CVE-2016-

PHP phar_parse_zipfile函数信息泄露及拒绝服务漏洞发布日期:2016-03-30更新日期:2016-04-01受影响系统:。CVE ID: CVE-2016-3142PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HT

myzht / 0评论 2016-04-01

phpMyAdmin libraries/config/messages.inc.php信息泄露漏洞(CVE

phpMyAdmin phpMyAdmin 4.5.x-4.5.3.1phpMyAdmin phpMyAdmin 4.4.x-4.4.15.2phpMyAdmin phpMyAdmin 4.0.x-4.0.10.12描述:。CVE ID: CVE-2015

lizengwang00 / 0评论 2015-12-28

网上订票惊爆信息泄露风险,你还敢在网上订票吗?

据外媒 Softpedia 消息,移动数据领域的初创企业 Wandera 最近的一份调查报告显示,包括加拿大航空、亚航等四家大型航空公司在内的全球十余家航空、铁路、出租、票务等方面的大型公司由于没有部署移动端 HTTPS 访问,导致用户信息存在巨大的泄露风

hebujiji / 0评论 2015-12-15

Android libstagefright 信息泄露漏洞(CVE-2015-6631)

Android libstagefright 信息泄露漏洞发布日期:2015-12-08更新日期:2015-12-09受影响系统:。CVE ID: CVE-2015-6631Android是基于Linux开放性内核的手机操作系统。Android 5.1.1

crazyyangrong / 0评论 2015-12-10

Android Media Framework信息泄露漏洞(CVE-2015-6628)

Android Media Framework信息泄露漏洞发布日期:2015-12-08更新日期:2015-12-09受影响系统:。CVE ID: CVE-2015-6628Android是基于Linux开放性内核的手机操作系统。Android 5.1.1

OakHJH / 0评论 2015-12-10